IP-Bereiche in iptables definieren

[Lutz]

Ich habe mit iptables den Zugang aller Rechner im Netzwerk zu verschiedenen Ports (hier als Beispiel 800) geblockt.

#!/bin/sh
.
.
.
NETZ=192.168.0.0/24
/bin/iptables -I CUSTOMINPUT -p tcp -s $NETZ --dport 800 -j -DROP

Jetzt möcht ich allen IP Adressen von 192.168.0.1 bis 192.168.0.127 den Zugriff wieder erlauben. Meine Annahme:

/bin/iptables -I CUSTOMINPUT -p tcp -s 192.168.0.0/30 --dport 800 -j -ACCEPT

ich hab auch 192.168.0.0/255.255.255.127 probiert

leider funktioniert beides nicht. Ich möchte aber ungern jede IP einzeln erlauben.

 

[jdkbx]

die reihenfolge hast du richtig, also das erlauben zuerst, dann das verbieten?

ansonsten, bist du dir mit der /30 sicher? damit erlaubst du ja nur 2 bit, also 192.168.0.1 bis 192.168.0.4 . alle andern fallen unter das DROP mit /24

das gesagt, warum verbietest du den genau das, was du erlauben willst?

 

[Lutz]

Die Reihenfolge ist richtig, wenn ich nur meine IP angebe gehts ja auch.

und stimmt 30 sin ja nur 2bit ich brauch also 25 -> 7bit -> 128
also werden dann alle Adressen von 192.168.0.0 bis 192.168.0.127 freigegeben

oder bin ich schonwieder auf dem Holzweg?


EDIT:

Geht, Danke